@guiling 基础 golang 镜像不要选基于 alpine ，选基于 debian （ bookworm ）

alpine 内置 busybox 支持太多的命令了，debian 很干净，curl 、wget 、ping 、lsof 、netstat 啥都没有。

黑客入侵的第一步往往需要用到 curl 或 wget 命令，基础镜像选基于 debian 或 ubuntu 多一份安全。

@falcon05 #6 如果业务容器需要访问 internet 特定的资源，可以建立一个反向代理容器，业务容器只能通过反向代理容器访问 internet 。

如果需要访问的 internet 特定资源都是 https 协议，推荐 sniproxy ，业务容器设置 host 参数将 https 域名指向 sniproxy 容器 ip （让 gpt 写一个 dockerfile ，基于 debian12 的 sniproxy ，别用 hub.docker.com 上的第三方镜像）

推荐一种 docker 容器防止入侵的通用防御方式：把容器配置成不允许访问 internet ，能抵御 99%的漏洞入侵。这是因为：入侵需要下载木马程序到容器里，容器无法访问 internet 能阻止入侵实施。

创建不允许访问 internet 的内部网络模式 (加 --internal 参数)：
docker network create --driver bridge --internal internal_network

创建容器时指定这个内部网络：
docker run --network internal_network ...

更强的方式是容器无网卡，容器间通信使用 unix socket 文件方式，更安全。

cusor 可以用自己的 api 访问的，试试 deepseek coder api ，根据用量付费给 deepseek

可以的。你在 windows 硬件里加一个 mircosoft loopback 环回网卡，然后你给这个环回网卡设置很多个 ip 地址（与局域网 ip 必须是不同网段），然后 ssh 绑定不同的环回网卡 ip

在设置邮件服务器 dns 参数时，有一个 spf 参数用来指定发件 ip 地址列表，spf 的尾部有-all 和～ all 。

如果没有将 spf 设置成-all ，从这个域名发出的邮件很容易伪造。收件服务器拦截规则更多用于识别垃圾邮件，而不是邮件防伪。

那么为什么收件服务器不检测过滤伪造 from 地址邮件呢？因为，很多正规的验证邮件、业务通知邮件都是业务系统自个儿发送的，没有通过域名原始的邮件服务器发送，行为与伪造 from 邮件十分相似。

如果二三线城市转去一线城市，可以争取一下租房补贴

现在不用管甲方画的大饼，要么去新城市，要么就和老乙方谈 N+1 离职补偿金。

另外，2 个乙方公司做调动，将来新乙方裁员 N+1 不算老乙方工作年限的。

和甲方不要撕破脸，也别太积极，没合同情况下，不帮忙是本分，帮忙是道义，如果你对甲方是不可或缺的，甲方自然会帮你解决用工问题。

mac 电脑，如果没有点开蓝牙菜单，mac 的蓝牙是不被发现的，陌生设备是无法连接你的 mac 的。

那么，为什么有一个设备会不断连接你的 mac ？应该是这个设备曾经成功连接过你的 mac 。

如何解决：找到这个设备，在这个设备上操作蓝牙忘记你 mac ；如果是耳机、键盘之类的硬件，让它连接成功其他设备。

电信有一种宽带类型：网络视频直播套餐，不限制上传，带动态公网 ip ，价格贵一些。

（ 1 ）你需要微调大模型，而不是 rag
（ 2 ） 8B 是玩具，需要至少 50B 以上的参数
（ 3 ）大模型会幻想，回答有误导致的问题，锅一个一个甩过来，OP 能接住吗？

如果有高负载的写文件操作（如日志等），也需要 volume 到宿主机上

首先你要搞定程序在 linux 裸机上能支持高并发 10W+，然后迁移到 docker 容器，网络模式选 host 即可

image url 改成包含完整图片的 base64 格式

image url 改变 base64

正解：你把要用的服务清单提供给运维，让运维开权限。

临时/突发情况，来不及让运维开权限，可以试试以下方式：

(1) 连上公司网络后，先在本地建立一个 socks5 端口 127.0.0.1:10080
ssh -D 10080 -f -C -N user@serverip

(2) 加节点：
- name: 'company'
type: socks5
server: 127.0.0.1
port: 10080
udp: false

(3) 加规则：
- IP-CIDR,<ip 地址 1>/32,company,no-resolve
- IP-CIDR,<ip 地址 2>/32,company,no-resolve
...
- IP-CIDR,<ip 地址 N>/32,company,no-resolve

断开公司网络后 pkill ssh 关闭 ssh 进程。不要在公司电脑上安装代理服务软件，这个是大忌，被发现就是重大事故！加规则用具体的 ip 地址，宁愿多写几条也不要用地址段。

很好奇，如果联通网络下的浏览器从电信网络下的服务器下载了 100GB 数据，营运商结算是应该谁付给谁钱？

香港线路的流量成本是很高的，只有国内一线城市访问好点，国内很多地方访问奇慢无比。

你同事的想法没毛病，很有必要的。

另外，别选香港，建议选美西（例如：洛杉矶、圣荷塞等地方）

在 proxy_pass https://direct.example.com; 下面加 3 行代码：

proxy_ssl_name direct.example.com;
proxy_ssl_server_name on;
proxy_set_header Host direct.example.com;

然后去除掉：proxy_set_header Host $host;